North Korean cyber warrior Ra Hyeok-cheol makes a move, warning for large-scale computer network paralysis

Kim In-soon Jul 10, 2014

The movements of North Korea`s cyber warrior ‘Ra Hyeok-cheol’ are quickening. Heightened security is required as large-scale computer network failure and system destruction, as of the cyber terrorism in March 20 and June 25 last year, may occur.

According to the security industry on the 9th, an attacker, which is presumed as North Korea, is circulating a large amount of malicious codes similar to the one used in the March 20 attack. North Korea is making provocation by spreading malicious codes in cyber space while stirring up tension with missile launching in reality.

In particular, these attacks extensively target DRM solution and groupware security vulnerabilities as well as online payment modules mainly used in Korea. Prompt patch application is difficult for vulnerabilities detected in software and security products created by small-scale domestic companies. Although aware of the vulnerabilities, companies and organizations using the related solutions cannot prevent them, and thus are helplessly exposed to cyber attacks.

The malicious codes estimated to have come from North Korea contain a Korean expression ‘service creation’ together with a name ‘Ra Hyeok-cheol. The file type is similar to the ones used in past attacks. Security industry, together with Korea Internet Security Agency (KISA), is implementing initial countermeasures by blocking the related websites and command & control (C&C) servers.

INCA Internet’s Security Response Center announced that it is closely observing movements of the attacker presumed as North Korea, as the movements have become quickened as of late. INCA Internet has named North Korea’s attack as ‘Operation Black Jack’ and is tracking and monitoring the movements.

The attacker encrypts and collects information of the infected systems with ‘,’ a free Indian webmail account, and additionally installs malicious files through the mail server. Malicious codes detected since last year until recently are carrying out operations with Indian web mails in the format of ‘jack + number.’ The attacker also uses ‘watering hole’ technique to replace normal internal and external updated server files with malicious codes and hack, and thus inserts attack codes to websites mainly accessed by persons from specific fields.

“North Korean cyber warriors make various attacks through a third country,” said INCA Internet Senior Manager Mun Jong-hyeon. He emphasized, “North Korea’s cyber attack is always an ongoing threat.”

Hauri analyzed that some of the C&C servers accessed by malicious codes that had been detected earlier this month are the same as the ones used in cyber terrorism on March 20 last year. The encryption logic to receive and decode commands and transmit the information to C&C server is the same as in the malicious code used in the March 20 attack.

Director Choi Sang-myeong of Next-generation Security Research Center said, “We are paying sharp attention while deciphering encrypted commands that are additionally received through the primary C&C server and the secondary TOR C&C server.”

The organizations concerned including KISA have also entered the state of alert to prevent large-scale computer network failure. Director Jeong Hyeon-cheol of Korea Internet Security Center said, “We have blocked C&C servers by obtaining the related malicious codes and developed a vaccine for them." He explained, “Although computer network failure or system destruction has not yet taken place, we are making full defensive preparations as accidents can occur any time following an incubation period.”

Kim In-soon |

北 사이버전사 라혁철이 움직인다..대규모 전산망 마비 우려 경계 절실

북한 사이버 전사 ‘라혁철’의 움직임이 빨라졌다. 지난해 발생한 3?20, 6?25 사이버테러와 같은 대규모 전산망 장애와 시스템 파괴가 나타날 수 있어 경계 강화가 시급하다는 지적이다.

9일 보안업계에 따르면 북한으로 추정되는 공격자가 과거 3?20때 쓰였던 유사한 형태 악성코드를 대량으로 유포 중인 것으로 확인됐다. 북한은 현실에서 미사일을 발사해 긴장감을 유도하면서 동시에 사이버 공간에서 악성코드를 확산하는 도발을 진행 중이다.

특히 이들은 국내에서 주로 쓰이는 온라인 결제모듈을 비롯해 DRM솔루션, 그룹웨어 보안 취약점을 집중 공략하고 있다. 규모가 작은 국내 기업이 만든 소프트웨어와 보안 제품에서 발견된 취약점은 신속한 패치가 어렵다. 관련 솔루션을 쓰는 기관과 기업은 구멍이 뚫렸는지 알면서도 막지 못해 속수무책으로 사이버 공격에 노출될 수 있다.

북한발 추정 악성코드에는 ‘라혁철’이라는 이름과 함께 ‘서비스 창조’ 등 한글 표현이 들어 있고 과거 공격 때와 유사한 형태 파일이다. 보안업계는 한국인터넷진흥원과 함께 관련 웹사이트 및 명령&제어(C&C) 서버를 차단하며 초기 대응 중이다.

잉카인터넷 시큐리티대응센터는 최근 북한으로 추정되는 공격자 움직임이 빨라져 예의주시한다고 밝혔다. 잉카인터넷은 북한 공격 움직임을 ‘오퍼레이션 블랙잭(Operation Black Jack)’이라고 명명하고 추적과 감시 활동을 진행 중이다.

공격자는 무료 인도 웹메일인 ‘’ 계정으로 감염시스템의 정보를 암호화해 수집하고 메일 서버를 통해 악성파일을 추가로 설치한다. 지난해부터 최근까지 발견된 악성코드는 ‘jack+숫자’ 형태 인도 웹메일로 작전을 수행 중이다. 공격자는 정상적인 내외부 업데이트 서버 파일을 악성코드로 교체하고 특정 분야 관계자가 주로 접속하는 웹사이트를 해킹해 공격 코드를 넣는 ‘워터링 홀’ 기법도 쓰고 있다.

문종현 잉카인터넷 부장은 “북한 사이버전사는 제3국을 통해 다양한 공격을 수행한다”며 “북의 사이버 공격은 언제나 현재 진행형 위협”이라고 강조했다.

하우리는 이달 초 발견된 악성코드가 접속하는 C&C 서버 중 일부가 지난해 3?20 사이버테러 때 쓰인 것과 동일하다고 분석했다. 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3?20 악성코드와 같다.

최상명 차세대보안연구센터장은 “1차 C&C 서버와 2차 TOR C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중”이라고 밝혔다.

한국인터넷진흥원 등 관계 기관도 대규모 전산망 장애를 막는 비상태세에 들어갔다. 정현철 인터넷침해사고대응본부 단장은 “관련 악성코드를 입수해 C&C를 차단하고 전용 백신을 개발했다”며 “아직 전산망 장애나 시스템 파괴는 일어나지 않았지만 잠복기를 거쳐 언제든 사고가 발생할 수 있어 예방에 만전을 기하고 있다”고 설명했다.

김인순기자 |

Interpretation & Translation_Service Center

Refund Help Center